Questa pagina è stata tradotta dall'API Cloud Translation.

Best practice per l'utilizzo dei tag di criteri in BigQuery

In questa pagina vengono descritte le best practice per l'utilizzo dei tag di criteri in BigQuery. Utilizza i tag di criteri per definire l'accesso ai dati quando utilizzi il controllo dell'accesso a livello di colonna o il mascheramento dinamico dei dati.

Per informazioni su come impostare i tag di criteri su una colonna, consulta Impostare un tag di criteri su una colonna.

Creare una gerarchia di classi di dati

Crea una gerarchia di classi di dati adatta alla tua attività.

Per prima cosa, considera quali tipi di dati vengono elaborati dall'organizzazione. In genere, le classi di dati gestite da un'organizzazione sono limitate. Ad esempio, un'organizzazione può avere classi di dati come:

dati PII
Dati finanziari
Cronologia degli ordini del cliente

Una singola classe di dati può essere applicata a più colonne di dati utilizzando un tag di criteri. Dovresti sfruttare questo livello di astrazione per gestire in modo efficiente molte colonne con pochi tag di criteri.

In secondo luogo, valuta se ci sono gruppi di persone che hanno bisogno di un accesso diverso a classi di dati diverse. Ad esempio, un gruppo deve accedere a dati sensibili dell'azienda, come le entrate e la cronologia dei clienti. Un altro gruppo deve accedere a dati che consentono l'identificazione personale (PII) come numeri di telefono e indirizzi.

Tieni presente che puoi raggruppare i tag di criteri in una struttura ad albero. A volte è utile creare un tag di criteri principale che contenga tutti gli altri tag di criterio.

La figura seguente mostra una tassonomia di esempio. Questa gerarchia raggruppa tutti i tipi di dati in tre tag di criteri di primo livello: Alto, Medio e Basso.

Gerarchia dei dati.

Ciascuno dei tag di criteri di primo livello contiene tag di criteri foglia. Ad esempio, il tag di criteri Alta contiene i tag di criterio Carta di credito, Documento di identità ufficiale e Biometrico. Allo stesso modo, i valori Media e Basso hanno tag di criteri relativi alle foglie.

Questa struttura offre diversi vantaggi:

Puoi concedere l'accesso a un intero gruppo di tag di criteri contemporaneamente. Ad esempio, puoi concedere il ruolo Lettore granulare Data Catalog per il livello Basso.
Puoi spostare i tag di criteri da un livello a un altro. Ad esempio, puoi spostare Address dal livello Low al livello Medium per limitarne ulteriormente l'accesso, senza dover riclassificare tutte le colonne Address.
Nota: puoi spostare un tag di criteri solo tramite il metodo PolicyTagManager.UpdatePolicyTag di Data Catalog.
Con questo accesso granulare, puoi gestire l'accesso a molte colonne controllando solo un numero limitato di tag dei criteri di classificazione dei dati.

Per saperne di più sui tag di criteri in BigQuery, vedi: